基于SDN技术的网络入侵阻断系统设计

针对当前防火墙或入侵阻断设备进行网络攻击防御存在适应性差和成本高的问题,设计了基于OpenFlow的入侵阻断规则,实现了对攻击流量的过滤及对入侵阻断过程的灵活控制;分析并测量了基于入侵阻断规则生成OpenFlow流表项的性能;引入OpenFlow交换机(H3CS6300),测量了在生产环境下OpenFlow流表项的数量和单位时间内OpenFlow报文数量(OpenFlow PPS)对OpenFlow Channel的性能的影响,发现OpenFlow PPS对OpenFlow Channel的性能具有决定性作用,随着OpenFlow PPS的增加,OpenFlow Channel的性能急剧下降,响应时间呈指数级增长.设计并实现了基于SDN技术的网络入侵阻断系统,实现了对攻击流量的阻断、对恶意流量的样本采集,证明了使用SDN技术构建入侵防御系统的可行性.     

TCAM存储高效的OpenFlow多级流表映射机制

基于流表的转发机制为OpenFlow提供了灵活的可编程能力,但是随着网络功能的不断膨胀,OpenFlow交换机中的流表规模呈现出不断增长的趋势,这些流表难以在交换机有限的三态内容寻址存储器(TCAM)中进行存储,成为网络发展的一个瓶颈。为了高效地利用有限的TCAM资源进行流表存储,该文提出一种OpenFlow多级流表结构及其映射算法,将单一流表映射到多级流表中进行高效存储和查找。仿真结果表明:该文所提方法比单一流表的存储方法节省17%~95%的TCAM资源。这对OpenFlow数据平面查找结构及其扩展性设计具有重要意义。     

软件定义网络中OpenFlow流表空间优化技术研究进展

OpenFlow是软件定义网络(SDN)南向通信标准协议,SDN控制平面为北向通信提供编程接口,通过OpenFlow向数据平面下发流表表项实现路由管理、流量调度等功能.针对OpenFlow流表空间有限性和有效性问题,从硬件、软件、软硬件结合方面对当前OpenFlow流表空间优化技术进行比较分析,归纳并阐述流表存储机制改进、基于软件的流表扩容和流表超时时间管理3种优化方案,最后总结并展望流表空间优化未来的方向.     

高速网络UDP流超时策略研究

随着社交网络、在线视频、电子商务、即时通信及微博等新兴业务的不断涌现及迅速发展,网络中UDP流量的比例及特性均发生了较大变化。文章通过对现有的流超时策略进行分析,指出其适用于UDP流量时存在的局限及不足,针对实际UDP网络流特性展开研究,并提出了一种UDP流区分更新的流超时策略(DUToS)。实验结果证明,DUToS算法能够更好地适用于UDP流量,有效改善了网络流量测量的性能。     

一类TCP网络系统的Minimax拥塞控制

研究一类带有用户数据报协议(user datagram protocol,UDP)流干扰的TCP网络系统拥塞控制问题.首先,建立了一个严格反馈非线性TCP网络系统模型,然后,利用反推(backstepping)技术和极小极大(minimax)理论,提出一个新的网络拥塞控制算法,并且给出了一个充分条件.在最大UDP流干扰存在的情况下,构建了一个状态反馈控制器,使得TCP网络系统渐近稳定.最后,对4种不同的情况进行了仿真,特别是在最大干扰存在时对4种控制方法进行了仿真对比,通过得到的仿真结果可以看出本文所提方法的可行性和优越性.     

面向变矩器设计性能的平面流模型选用方法

为探求叶轮平面流模型与变矩器起步转矩比、效率、最大能容等设计性能间的动力学映射关系,以双涡轮液力变矩器为研究对象,提出了面向变矩器设计性能的叶轮平面流模型选用方法。在通过变矩器台架试验验证其计算流体力学(CFD)仿真精度的基础上,利用正交试验法,将变矩器4个叶轮及反势流、等速流和有势流模型3种典型平面流模型的全部组合设计为9个叶轮及平面流模型的组合模型,并进行CFD仿真试验。依据仿真试验结果,定量分析不同叶轮平面流模型对变矩器各设计性能的影响,对于叶片角组合满足基本设计性能要求的变矩器,可以通过选用合适的叶轮平面流模型,提高其性能:若以起步转矩比评价变矩器,采用导轮为等速流或有势流、第一涡轮为有势流或反势流模型;若以效率评价变矩器,采用导轮为等速流或反势流、泵轮为反势流模型;若以最大能容评价变矩器,采用导轮为等速流模型。所提面向变矩器设计性能的叶轮平面流模型选用方法,可以在叶片数、叶片角度、叶片厚度不变的情况下,通过合理选用平面流模型提升变矩器某方面性能,对提高其变矩器设计性能具有工程参考价值。     

一种基于SDN的流接入安全系统的设计与实现

为创建防范攻击和流监测功能为一体的网络安全环境,基于软件定义网络(SDN)分离网络数据平面和控制平面的天然特性,利用Open Flow协议以流集中管控网络的方式综合接入控制和网络审计2种网络安全技术,提出了一种基于SDN的流接入安全系统(SDN-FASS).设计了SDNFASS体系结构,讨论了它提供接入控制和审计功能的工作过程,并研究了接入控制的安全策略及网络审计的流日志提取与分析几个关键技术.为测试SDN-FASS的接入控制和网络安全审计特性,搭建了一个原型系统,并进行了多维控制和流日志回溯分析的试验.结果表明,该系统具有灵活定义网络接入控制安全策略;在线高效获取流记录以及以毫秒级速度快速搜索海量流日志;不仅能够用于防范网络外部的攻击,而且能够用于监测网络内部的非法操作.     

NSAP——支持透明计算的网络存储访问协议

为了满足透明计算客户机访问网络存储设备的需求,需要通过网络存储访问协议与服务器交互完成数据请求的处理。现有的网络存储协议都工作在操作系统环境中。该文设计了NSAP(network storage access protocol)协议实现局域网中可靠的块级数据访问,它可以在操作系统启动前工作用于支持启动操作系统。NSAP基于UDP(user datagram protocol)和IP(Internet protocol)协议设计,包含通信管理和存储访问等功能,在不可靠的通信介质上为用户提供可靠的、面向连接的块级数据访问服务。结果表明:在设定试验条件下,请求的数据块小于64kB时,通过NSAP访问网络存储设备的性能优于本地磁盘访问的性能,是一种高效的局域网存储访问协议,可以满足透明计算的需求。     

网络路由收敛性能测试研究

在网络建设和运行中,采用测试的方法对其性能进行评估对于网络的正常运营具有重要的意义.本文研究了网络路由收敛性能测试方法,为得到路由收敛性能指标,对OSPF和iBGP的路由收敛时间进行了测量.提出了一种简化的路由收敛时间测量方法,通过测量数据平面的传输性能指标,对路由控制平面的收敛时间进行估算.该方法对于测试设备要求不高,实施简单方便.采用该方法在CERNET2投入运营之前对其进行了路由性能测试,实验结果表明CERNET2在路由变化时具有较好的路由收敛性能.     

后加载和高负荷前加载叶型气动性能的试验研究

采用平面叶栅和环形叶栅吹风试验对后加载和高负荷前加载叶型的气动性能进行了详细的测量和研究.在平面叶栅吹风试验中,测量了2种叶型的压力系数分布,研究了攻角、相对栅距、安装角和马赫数的变化对叶型能量损失系数的影响规律.在环形叶栅吹风试验中,测量了2种叶型的近叶顶、中叶高和近叶根处的压力系数分布以及能量损失系数沿叶高的变化规律.对后加载和高负荷前加载叶型的三维成型规律进行了讨论.试验结果表明:高负荷前加载叶型相对于后加载叶型具有更大的负荷特性;高负荷前加载叶型在采用较大的切向弯曲后可以抑制二次流的发展和减少二次流损失;前加载叶型和后加载叶型均具有优良的气动性能.研究结果对于拓宽高性能叶型在汽轮机中的应用提供了理论基础和技术支持.     

网络通信环境下的SQL数据库实时访问方式性能分析

为了探究网络通信环境中不同数据库动态访问方式的性能特点及适用情况,在MFC开发环境下分别基于UDP和TCP网络协议进行建模,分析数据库访问时延与数据包操作量的关系,对MFCODBC、MFCDAO和ADO这3种数据库访问方式的性能进行比较和评价,并定义波动百分比来衡量访问技术的稳定性．建模结果表明,3种访问方式在实时数据存储中稳定性较高,数据包量少于3000个时表现出相似性能．在实时数据读取中,ADO性能最优,并总结归纳了稳定性随数据量增加和网络通信协议变化的特点．     

一种新的IPv6安全协议——有限制发送协议

本文针对安全协议IPsec无法解决的安全隐患提出了一种新的网络安全协议——有限制发送协议,在新的协议中,如果主机向网络发送大量的具有攻击性的数据包时,其发送权利将会受到限制,从而保证网络的安全．文章采用了OPNET仿真软件对新的协议进行了仿真,仿真结果表明,采用新的协议时,网络性能要好．以目标客户机平均HTTP响应时间为例,采用新的协议时,平均HTTP响应时间为0．013秒,不采用新的协议时,平均HTTP响应时间为0．032秒．     

自动交换光网络控制平面性能研究

研究了通用多协议标记交换（GMPLS）协议技术的控制平面模型和系统结构。基于一个典型的IP／WDM骨干网拓扑,模拟了与自动交换光网络（ASON）协议相关的控制平面性能。结果表明,ASON控制平面技术能够满足光路动态实时建立的网络需求。     

WLAN网络业务流分类与流速控制的实现

介绍了通过网络业务流的分类管理,保证实时业务流服务质量的为目的改善无线网络传输质量的驱动程序.其原理是对TCP数据报(非实时业务流)进行延迟,而不对UDP数据报(实时业务流)的传输进行流量控制.此外,通过监控数据包的发送延迟来判定网络上的带宽占用情况,并根据数据包发送延迟的变化设计相应的算法调整输出流量,以达到动态流量控制的目的.     

控制发送策略对IPsec的补充和完善

针对IPsec无法解决的安全隐患提出了一种新的网络安全协议——有限制发送协议,在新的协议中,如果主机向网络发送大量的具有攻击性的数据包时,其发送权利将会受到限制,从而保证网络的安全.采用OPNET仿真软件对新的协议进行了仿真,仿真结果表明,采用新的协议时,网络性能要好.以目标客户机平均HTTP响应时间为例,采用新的协议时,平均HTTP响应时间为0.013 s,不采用新的协议时,平均HTTP响应时间为0.032 s.     

抗污染攻击的流内安全网络纠错编码

传统的网络路由并不能达到多播网络中"最大流-最小割"定义的Shannon容量限,而网络编码很好地解决了上述问题,在增大吞吐量的同时还可以均衡网络负载,提高带宽利用率.但是当网络中存在恶意攻击时会引入错误数据包,在线性网络编码操作下会带来数据包的"错误扩散",不仅影响网络性能,还会造成资源的严重浪费.因此如何在优化网络传输性能的同时提高通信网络的安全性成为目前亟待解决的问题.本文采用基于同态校验的线性网络纠错编码机制进行差错控制,拟解决多播网络中的污染攻击问题,对安全性能以及传输性能进行了分析.仿真结果表明基于同态校验的网络纠错编码能够在不破坏数据包编码规则的前提下及时地进行错误的检测和纠正,得到较好的差错控制性能,能够对抗网络中恶意节点引起的污染攻击问题.      

基于性能服务的高速网络运输层拥塞控制解决方案

为改善高速网络拥塞控制性能,提出了一种2层结构的运输层解决方案。将TCP和UDP纳入同一个框架,利用上层的性能服务感知内部网络状态,然后在此基础上形成基于冗余分组的下层控制目标。由端系统组成的下层实体通过对时延和丢包的响应以窗口调节或速率调节的方式实现上层设定的公共目标。针对TCP和UDP协议,分别描述了下层端系统执行的拥塞控制算法。另外,为提高系统对测量误差的健壮性,控制目标推导过程使用了模糊推理技术。仿真实验表明,提出的拥塞控制方案,与TCP流竞争带宽的UDP流在达到TCP友好的同时保持了平滑的吞吐率输出,并且系统对合理范围内的测量误差表现出较强的健壮性。     

MobileIP的几种切换策略

Mobile IP在IP层提供移动支持，移动主机可以从一个地方移动到另一个地方而不中断巳有的连接。在MobileIP切换过程中，可能会丢失一些包，使上层协议如TCP和UDP的性能下降。为此，提出了多种切换策略。介绍了其中的几种，并提出了改进的方案：采用预先建立的隧道来降低切换时延，应用本地广播和FA处的缓存来减少丢包，利用提前的资源预留来保证QoS。     

采用OpenFlow交换机的服务器负载均衡策略

云数据中心对服务器的海量并发访问十分普遍.传统网络架构难以全局控制流量转发,需要配置昂贵的负载均衡器应对这一应用场景.软件定义网络SDN(software defined network)能够通过控制器全局掌控网络状态,并以交换机作为负载均衡器,从而降低部署成本.文中提出一种采用OpenFlow交换机的服务器负载均衡策略,通过多地址定向流表对服务请求进行分区映射,以活动连接数作为负载评估参数,通过蚁群算法求解最佳负载重定向方案.在负载迁移时,采用单地址定向流表来保证不同阶段流量的有序转发.实验结果显示,该策略能有效控制流表规模,并较传统均衡策略具有更优的性能.     

一种改进的显式拥塞指示算法

首先仿真分析了ECN(Explicit Congestion Notification)协议RFC 3168网关的性能.研究表明,该协议中建议的平均队列长度超过门限上界时丢弃包的策略将导致网络吞吐量过低.如果改为标记包策略则可以显著提高吞吐量,但因此造成的长队列会增加系统的平均延迟,而且当负载持续增加时还可能导致不能成功建立连接。为保证高吞吐量、低延迟和连通的鲁棒性,提出一种名为LQRD(Long Queue Random Drop)的改进算法,该算法当平均队列超过队列上限时随机的丢弃分组.丢弃概率综合考虑到平均队列、路由器的缓存大小、链路容量和系统平均延迟等因素的影响,仿真结果表明其具有良好的性能.最后,我们给出并分析了该算法的解析模型.